Sdílet prostřednictvím

Řízení provozu OT monitorovaného v programu Microsoft Defender for IoT

  • Článek

Tento článek je jedním z řady článků popisujících cestu nasazení pro monitorování OT pomocí Microsoft Defenderu pro IoT.

Diagram indikátoru průběhu se zvýrazněným monitorováním OT vyladit

Síťové senzory Microsoft Defenderu for IoT OT automaticky spouštějí hloubkovou detekci paketů pro provoz IT a OT a přeloží data síťových zařízení, jako jsou atributy zařízení a chování.

Po instalaci, aktivaci a konfiguraci síťového senzoru OT můžete pomocí nástrojů popsaných v tomto článku analyzovat provoz, který se zjistí automaticky, v případě potřeby přidat další podsítě a řídit informace o provozu zahrnuté v upozorněních Defenderu pro IoT.

Požadavky

Před provedením postupů v tomto článku musíte mít:

Tento krok provádí týmy nasazení.

Analýza nasazení

Po připojení nového síťového senzoru OT do programu Microsoft Defender for IoT ověřte, že je senzor správně nasazený, a to analýzou monitorovaného provozu.

Analýza sítě:

  1. Přihlaste se ke snímači OT jako uživatel s rolí správce a vyberte Základní nasazení nastavení>>systému.

  2. Vyberte Analyzovat. Spustí se analýza a pro každé rozhraní monitorované senzorem se zobrazí karta. Každá karta zobrazuje podsítě zjištěné podle uvedeného rozhraní. Příklad:

    Snímek obrazovky se stránkou Nastavení nasazení

  3. Na každé kartě rozhraní jsou uvedené následující podrobnosti:

    • Stav připojení označený zelenou nebo červenou ikonou připojení v názvu karty Například na obrázku výše se rozhraní eth1 zobrazuje jako zelené a je proto připojeno.
    • Celkový počet zjištěných podsítí a sítí VLAN zobrazených v horní části karty
    • Protokoly zjištěné v každé podsíti.
    • Počet adres jednosměrového vysílání zjištěných pro každou podsíť.
    • Určuje, jestli je pro každou podsíť zjištěn provoz všesměrového vysílání označující místní síť.

  4. Počkejte, až se analýza dokončí, a pak zkontrolujte každou kartu rozhraní, abyste pochopili, jestli rozhraní monitoruje relevantní provoz, nebo potřebuje další vyladění.

Pokud provoz zobrazený na stránce Nasazení není to, co očekáváte, možná budete muset vyladit nasazení změnou umístění senzoru v síti nebo ověřením správného připojení vašich monitorovacích rozhraní. Pokud provedete nějaké změny a chcete znovu analyzovat provoz, abyste viděli, jestli je vylepšený, vyberte Analyzovat znovu, abyste viděli aktualizovaný stav monitorování.

Vyladění seznamu podsítí

Po analýze provozu, který senzor monitoruje a dolaďuje nasazení, možná budete muset seznam podsítí dále vyladit. Pomocí tohoto postupu se ujistěte, že jsou vaše podsítě správně nakonfigurované.

I když se senzor OT během počátečního nasazení automaticky učí vaše síťové podsítě, doporučujeme analyzovat zjištěný provoz a podle potřeby je aktualizovat, aby se optimalizovaly zobrazení mapy a inventář zařízení.

Tento postup použijte také k definování nastavení podsítě a určení způsobu zobrazení zařízení v mapě zařízení senzoru a inventáři zařízení Azure.

  • Na mapě zařízení se IT zařízení automaticky agregují podle podsítě, kde můžete podle potřeby rozbalit a sbalit každé zobrazení podsítě, abyste mohli přejít k podrobnostem.
  • Po nakonfigurování podsítí v inventáři zařízení Azure pomocí filtru Síťové umístění (Public Preview) zobrazte místní nebo směrovaná zařízení definovaná v seznamu podsítí. Všechna zařízení přidružená k uvedeným podsítím se zobrazí jako místní, zatímco zařízení přidružená k detekovaným podsítím, která nejsou součástí seznamu, se zobrazí jako směrovaná.

I když se síťový senzor OT automaticky učí podsítě ve vaší síti, doporučujeme potvrdit naučené nastavení a podle potřeby je aktualizovat, aby se optimalizovaly zobrazení mapy a inventář zařízení. Všechny podsítě, které nejsou uvedené jako podsítě, se považují za externí sítě.

Tip

Až budete připraveni začít spravovat nastavení senzoru OT ve velkém měřítku, definujte podsítě z webu Azure Portal. Jakmile použijete nastavení z webu Azure Portal, nastavení v konzole senzoru jsou jen pro čtení. Další informace najdete v tématu Konfigurace nastavení senzoru OT na webu Azure Portal (Public Preview).

Vyladění zjištěných podsítí:

  1. Přihlaste se ke snímači OT jako uživatel s rolí správce a vyberte Základní>podsítě nastavení>systému. Příklad:

    Snímek obrazovky se stránkou Podsítě v nastavení senzoru OT

  2. Aktualizujte podsítě uvedené pomocí některé z následujících možností:

    Název Popis
    Import podsítí Import a . Soubor CSV s definicemi podsítí Informace o podsíti se aktualizují informacemi, které jste naimportovali. Pokud importujete prázdné pole, ztratíte data v daném poli.
    Export podsítí Export aktuálně uvedených podsítí do . Soubor CSV.
    Vymazat vše Vymažte všechny aktuálně definované podsítě.
    Automatické učení podsítě Ve výchozím nastavení je tato možnost vybraná. Pokud chcete zabránit automatickému rozpoznání podsítí senzoru, zrušte zaškrtnutí této možnosti.
    Řešení veškerého internetového provozu jako interního nebo privátního Vyberte, jestli chcete zvážit všechny veřejné IP adresy jako privátní místní adresy. Pokud je vybraná možnost, veřejné IP adresy se považují za místní adresy a upozornění se neodesílají o neoprávněné internetové aktivitě.

    Tato možnost snižuje oznámení a výstrahy přijaté o externích adresách.
    IP adresa Definujte IP adresu podsítě.
    Maska Definujte masku IP podsítě.
    Název Doporučujeme zadat smysluplný název, který určuje roli sítě podsítě. Názvy podsítí můžou mít až 60 znaků.
    Oddělený Tuto podsíť vyberte, pokud chcete tuto podsíť zobrazit samostatně při zobrazení mapy zařízení podle úrovně Purdue.
    Odebrání podsítě Výběrem odeberete všechny podsítě, které nesouvisí s oborem vaší sítě IoT/OT.

    V mřížce podsítě jsou podsítě označené jako podsítě ICS rozpoznány jako sítě OT. Tato možnost je v této mřížce určená jen pro čtení, ale pokud se podsíť OT nerozpozná správně, můžete ji jako ICS definovat ručně.

  3. Až budete hotovi, uložte aktualizace výběrem možnosti Uložit .

Tip

Jakmile je nastavení automatického učení podsítě zakázané a seznam podsítí se upraví tak, aby zahrnoval pouze místně monitorované podsítě, které jsou v oboru IoT/OT, můžete vyfiltrovat inventář zařízení Azure podle umístění v síti a zobrazit jenom zařízení definovaná jako místní. Další informace najdete v tématu Zobrazení inventáře zařízení.

Ruční definování podsítě jako ICS

Pokud máte podsíť OT, která není automaticky označená jako podsíť ICS senzorem, upravte typ zařízení pro všechna zařízení v příslušné podsíti na typ zařízení ICS nebo IoT. Podsíť se pak automaticky označí senzorem jako podsíť ICS.

Poznámka:

Pokud chcete ručně změnit podsíť, která se má označit jako ICS, změňte typ zařízení v inventáři zařízení v senzoru OT. Na webu Azure Portal jsou podsítě v seznamu podsítí ve výchozím nastavení v nastavení senzoru označené jako ICS.

Pokud chcete změnit typ zařízení tak, aby se podsíť aktualizovala ručně:

  1. Přihlaste se ke konzole senzoru OT a přejděte do inventáře zařízení.

  2. V mřížce inventáře zařízení vyberte zařízení z příslušné podsítě a pak na panelu nástrojů v horní části stránky vyberte Upravit .

  3. V poli Typ vyberte typ zařízení z rozevíracího seznamu, který je uvedený v části ICS nebo IoT.

Podsíť se teď v senzoru označí jako podsíť ICS.

Další informace najdete v tématu Úprava podrobností o zařízení.

Přizpůsobení názvů portů a sítí VLAN

Pomocí následujících postupů můžete rozšířit data zařízení zobrazená v defenderu pro IoT přizpůsobením názvů portů a sítí VLAN v síťových senzorech OT.

Můžete například chtít přiřadit název neservírovaného portu, který zobrazuje neobvykle vysokou aktivitu, aby ji bylo možné volat, nebo přiřadit název číslu sítě VLAN, aby bylo možné ho rychleji identifikovat.

Poznámka:

U senzorů připojených ke cloudu můžete nakonec začít konfigurovat nastavení senzoru OT z webu Azure Portal. Jakmile začnete konfigurovat nastavení z webu Azure Portal, budou sítě VLAN a podokna pojmenování portů v senzorech OT jen pro čtení. Další informace najdete v tématu Konfigurace nastavení senzoru OT na webu Azure Portal.

Přizpůsobení názvů zjištěných portů

Defender pro IoT automaticky přiřazuje názvy většiny univerzálních portů, jako je DHCP nebo HTTP. Můžete ale chtít přizpůsobit název konkrétního portu a zvýraznit ho, například když sledujete port s neobvykle vysokou detekovanou aktivitou.

Názvy portů se zobrazují v defenderu pro IoT při prohlížení skupin zařízení z mapy zařízení senzoru OT nebo při vytváření sestav snímačů OT, které obsahují informace o portu.

Přizpůsobení názvu portu:

  1. Přihlaste se ke snímači OT jako uživatel s rolí správce .

  2. Vyberte Nastavení systému a pak v části Monitorování sítě vyberte Pojmenování portů.

  3. V zobrazeném podokně pojmenování portu zadejte číslo portu, které chcete pojmenovat, protokol portu a smysluplný název. Mezi podporované hodnoty protokolu patří: TCP, UDP a OBĚ.

  4. Pokud chcete přizpůsobit jiný port, vyberte + Přidat port a až budete hotovi, uložte ho.

Přizpůsobení názvu sítě VLAN

Sítě VLAN se buď automaticky zjistí síťovým senzorem OT, nebo se přidají ručně. Automaticky zjištěné sítě VLAN nelze upravit ani odstranit, ale ručně přidané sítě VLAN vyžadují jedinečný název. Pokud není síť VLAN explicitně pojmenovaná, zobrazí se místo toho číslo sítě VLAN.

Podpora sítě VLAN je založená na verzi 802.1q (až 4094 ID sítě VLAN).

Poznámka:

Názvy sítí VLAN se nesynchronují mezi síťovým senzorem OT a místní konzolou pro správu. Pokud chcete zobrazit přizpůsobené názvy sítí VLAN v místní konzole pro správu, definujte tam také názvy sítí VLAN.

Konfigurace názvů sítí VLAN na síťovém senzoru OT:

  1. Přihlaste se ke snímači OT jako uživatel s rolí správce .

  2. Vyberte Nastavení systému a pak v části Monitorování sítě vyberte Pojmenování sítě VLAN.

  3. V podokně pojmenování sítě VLAN, které se zobrazí, zadejte ID sítě VLAN a jedinečný název sítě VLAN. Názvy sítí VLAN můžou obsahovat až 50 znaků ASCII.

  4. Vyberte + Přidat síť VLAN, abyste přizpůsobili jinou síť VLAN , a až budete hotovi, uložte ji.

  5. Přepínače Cisco: Přidejte monitor session 1 destination interface XX/XX encapsulation dot1q příkaz do konfigurace portu SPAN, kde XX/XX je název a číslo portu.

Definování serverů DNS

Vylepšení rozšiřování dat zařízení konfigurací několika serverů DNS pro provádění reverzních vyhledávání a překlad názvů hostitelů nebo plně kvalifikovaných názvů domén přidružených k IP adresám zjištěným v síťových podsítích. Pokud například senzor zjistí IP adresu, může dotazovat několik serverů DNS, aby přeložil název hostitele. Potřebujete adresu serveru DNS, port serveru a adresy podsítě.

Definování vyhledávání serveru DNS:

  1. V konzole senzoru OT vyberte Sledování sítě nastavení>systému a v části Aktivní zjišťování vyberte Reverzní vyhledávání DNS.

  2. Pomocí možností naplánovat zpětné vyhledávání můžete kontrolu definovat v pevných intervalech, za hodinu nebo v určitém čase.

    Pokud vyberete Podle určitých časů, použijte 24hodinové hodiny, například 14:30 pro 2:30. + Výběrem tlačítka na straně přidejte další konkrétní časy, kdy má vyhledávání běžet.

  3. Vyberte Přidat server DNS a podle potřeby vyplňte pole, abyste definovali následující pole:

    • Adresa serveru DNS, což je IP adresa serveru DNS
    • Port serveru DNS
    • Počet popisků, což je počet popisků domény, které chcete zobrazit. Tuto hodnotu získáte tak, že přeložíte síťovou IP adresu na plně kvalifikované názvy domén zařízení. Do tohoto pole můžete zadat až 30 znaků.
    • Podsítě, což jsou podsítě, na které se má server DNS dotazovat.

  4. Zapněte možnost Povoleno v horní části, aby se spustil dotaz zpětného vyhledávání podle plánu, a pak výběrem možnosti Uložit dokončete konfiguraci.

Další informace najdete v tématu Konfigurace zpětného vyhledávání DNS.

Otestujte konfiguraci DNS

Pomocí testovacího zařízení ověřte, že nastavení zpětného vyhledávání DNS, které jste definovali, fungovalo podle očekávání.

  1. V konzole senzoru vyberte Sledování sítě nastavení>systému a v části Aktivní zjišťování vyberte Reverzní vyhledávání DNS.

  2. Ujistěte se, že je vybraný přepínač Povoleno .

  3. Vyberte Test.

  4. V dialogovém okně zpětného vyhledávání DNS pro server zadejte adresu do vyhledávací adresy a pak vyberte Test.

Konfigurace rozsahů adres DHCP

Vaše síť OT se může skládat ze statických i dynamických IP adres.

  • Statické adresy se obvykle nacházejí v sítích OT prostřednictvím historických, kontrolerů a zařízení síťové infrastruktury, jako jsou přepínače a směrovače.
  • Dynamické přidělování IP adres se obvykle implementuje v hostovaných sítích s přenosnými počítači, počítači, smartphony a dalšími přenosnými zařízeními pomocí fyzického připojení Wi-Fi nebo LAN v různých umístěních.

Pokud pracujete s dynamickými sítěmi, musíte zpracovávat změny IP adres tak, jak k nim dochází, definováním rozsahů adres DHCP na každém senzoru sítě OT. Pokud je IP adresa definovaná jako adresa DHCP, Defender pro IoT identifikuje všechny aktivity probíhající na stejném zařízení bez ohledu na změny IP adres.

Definování rozsahů adres DHCP:

  1. Přihlaste se ke snímači OT a vyberte Nastavení>systému monitorování rozsahů DHCP sítě.>

  2. Proveďte některou z následujících akcí:

    • Pokud chcete přidat jeden rozsah, vyberte + Přidat rozsah a zadejte rozsah IP adres a volitelný název rozsahu.
    • Pokud chcete přidat více oblastí, vytvořte . Soubor CSV se sloupci pro data Od, To a Name pro jednotlivé oblasti Vyberte Importovat a naimportujte soubor do senzoru OT. Hodnoty rozsahu importované z objektu . Soubor CSV přepíše všechna data rozsahu, která jsou aktuálně nakonfigurovaná pro váš senzor.
    • Export aktuálně nakonfigurovaných rozsahů do . Vyberte Exportovat soubor CSV.
    • Pokud chcete vymazat všechny aktuálně nakonfigurované oblasti, vyberte Vymazat vše.

    Názvy oblastí můžou mít až 256 znaků.

  3. Výběrem možnosti Uložit uložte změny.

Konfigurace filtrů provozu (pokročilé)

Pokud chcete snížit únavu výstrah a zaměřit se monitorování sítě na provoz s vysokou prioritou, můžete se rozhodnout filtrovat provoz, který streamuje do defenderu pro IoT ve zdroji. Filtry zachytávání se konfigurují prostřednictvím rozhraní příkazového řádku senzoru OT a umožňují blokovat přenosy s velkou šířkou pásma na hardwarové vrstvě a optimalizovat výkon zařízení i využití prostředků.

Další informace naleznete v tématu:

Další kroky

« Konfigurace nastavení proxy serveru na senzoru OT

Ověření a aktualizace zjištěného inventáře zařízení »